RSA je pohvaljen jer je upozorio korisnike na povredu podataka svog SecurID-a, ali je kažnjen zbog oskudnog informacije o ozbiljnosti napada za koju stručnjaci kažu da nije bila dovoljna da omogući organizacijama zaštitu se.
RSA je pohvaljena za upozoravajući korisnike na povredu podataka u vezi s njegovim SecurID-om proizvoda, ali je također bio kuđen zbog samo prosljeđivanja šture informacije o težini napada.
Dan Kaminsky(Kreditna: Dave Bullock, CC2.0)
Div za informacijsku sigurnost objavio je otvoreno pismo u kojem priznaje da su hakeri provalili u njegove sustave i došli do informacija o njegovim proizvodima za autentifikaciju SecureID. Međutim, nije otkrio ozbiljnost incidenta.
Sustav SecurID koriste milijuni tvrtki za dvofaktorsku autentifikaciju. Telstra, Virgin Blue i Lockheed Martin neki su od kupaca RSA u Australiji.
"Ove [ukradene] informacije potencijalno bi se mogle koristiti za smanjenje učinkovitosti struje implementacija dvofaktorske autentifikacije kao dio šireg napada", napisao je šef RSA Art Coviellio u pismo.
Ali prema stručnjak za sigurnost Dan Kaminsky, razgovara s ZDNet Australija u telefonskom intervjuu iz Sjedinjenih Država, ta je informacija beskorisna za kupce i "moglo se to reći jučer".
“Nisu dali dovoljno informacija. Ono što su dali dobar je savjet, ali iskreno, radi se o pojasu i tregerima", rekla je Kaminsky.
"Ljudi trebaju više informacija kako bi odredili odgovarajuću akciju."
Nedostatak informacija stvara strah i nagađanja, rekao je Kaminsky. Društveno umrežavanje Twitter prepuno je rasprava o provali, a neki nagađaju da su hakeri mogli pristupiti bazi podataka koja sadrži informacije koje bi mogle ugroziti cijeli RSA-in skup dvofaktorskih žetoni.
Ovaj najgori mogući scenarij je strašan, ali nije nevjerojatan, rekao je Kaminsky. Takva bi baza podataka povezivala SecurID serijske brojeve s sjemenke, omogućujući da se zna točan token generiran u bilo kojem trenutku. Također bi povezivao serijske brojeve s organizacijama koje ih koriste.
RSA ne bi bio glup da drži takvu bazu podataka, prema Kaminsky, jer bi bilo bitno omogućiti SecurID-u skaliranje na desetke milijuna korisnika.
"Postoje moguće izloženosti jer je [RSA] morala osmisliti rješenje za razmjere", rekao je Kaminsky.
Kaminsky je pohvalio tvrtku za objavu kršenja, ali je rekao da iako postupak obavijesti je balansiranje u smislu stupnja razotkrivanja, RSA je trebala reći koliko je kršenje ozbiljno. "Koja je razlika? Što napadač može učiniti danas, a nije mogao jučer? To je ono što ne znamo."
Kaminsky je savjetovao administratore da nadziru vanjska sučelja za neuobičajenu upotrebu SecurID-a, utvrde podrijetlo svake sumnjive aktivnosti i povežu usluge s mehanizmima provjere autentičnosti.
Sigurnosni analitičar IBRS-a James Turner rekao je da bi se tvrtka mogla suočiti s ozbiljnim problemima s prihodima ako je SecurID ozbiljno ugrožen.
"Ovo je vrijeme kada vlade žele potrošiti na sigurnost i loše je vrijeme da se to dogodi", rekao je. Za SecurID se kaže da osigurava lavovski udio prihoda RSA-e.
Turner je dodao: "Ovi momci iz RSA-e su pametni, nisu pokvareni, tako da ovo naglašava poantu da ako mogu biti hakirani, stvarno svatko može."
RSA Australia odbila je komentirati slučaj.